Wat is PSD2-compliance? Belangrijkste vereisten voor bedrijven in 2025

Als je een Nederlands bedrijf runt dat online betalingen verwerkt, zoals abonnementen, producten of diensten, dan val je onder de PSD2-regelgeving.

PSD2 is bepalend voor de manier waarop elektronische betalingen in heel Europa werken, van de tweefactorauthenticatie die je klanten tegenkomen bij het afrekenen tot de manier waarop betalingsproviders transactiegegevens verwerken. Veel bedrijven worstelen echter met de details.

Bij welke transacties is tweefactorauthenticatie vereist? Wanneer kun je extra beveiligingsstappen overslaan? Hoe breng je regelgeving en conversiepercentages in evenwicht?

Deze gids gaat in op wat PSD2-compliance betekent voor je bedrijfsvoering, welke vereisten van toepassing zijn en hoe je deze kunt implementeren zonder je klantervaring te verstoren.

Wat is PSD2 en waarom is het belangrijk?

PSD2 is de afkorting van ‘Payment Services Directive’, de herziene Europese richtlijn die de werking van elektronische betalingen in de EU regelt. Die richtlijn is in 2019 ingevoerd ter vervanging van de oorspronkelijke richtlijn uit 2007 en houdt rekening met moderne betaaltechnologieën en veiligheidsrisico's.

De richtlijn legt de nadruk op vier belangrijke gebieden:

• Betere beveiliging

• Open bankieren

• Verbeterde consumentenbescherming

• Concurrentie op de markt

Voor Nederlandse bedrijven is compliance verplicht en heeft dit praktische gevolgen.

PSD2 vs PSD1: wat is er veranderd?

PSD1 bood een oplossing voor het gefragmenteerde Europese betalingsverkeer door een uniforme betalingsmarkt in de hele EU te creëren en basisbescherming voor consumenten in te voeren. Het was echter ontworpen voor een wereld waarin cheques nog veel werden gebruikt, mobiele betalingen vrijwel onbekend waren en de meeste transacties contant of met een betaalkaart in fysieke winkels plaatsvonden.

Tegen 2015 was de wereld van het betalingsverkeer drastisch veranderd. Door de opkomst van smartphones waren er geheel nieuwe betalingsecosystemen ontstaan, fintechbedrijven betraden de markt en vormden concurrentie voor traditionele banken, en online fraude was geëvolueerd van eenvoudige betaalkaartdiefstal tot geavanceerde social engineering-aanvallen. Het kader van PSD1 voldeed niet meer aan deze nieuwe realiteit, waardoor in 2018/19 een uitgebreide herziening nodig was.

PSD2 heeft drie ingrijpende veranderingen doorgevoerd die directe gevolgen hebben voor de manier waarop bedrijven betalingen verwerken:

Verplichte tweefactorauthenticatie

Tweefactorauthenticatie is verplicht geworden voor online kaartbetalingen van meer dan € 30. Voorheen hoefden klanten alleen hun betaalkaartgegevens en wachtwoord in te voeren, maar nu moeten ze twee onafhankelijke verificatiemethoden gebruiken.

Toegang tot betalingen door derden

Banken zijn verplicht om veilige API's aan te bieden waarmee erkende Account Information Service Providers (AISP's) en Payment Initiation Service Providers (PISP's) toegang krijgen tot klantgegevens en betalingen kunnen verwerken. Nieuwe diensten kunnen rekeninginformatie verzamelen of rechtstreeks bankoverschrijvingen in gang zetten, zonder tussenkomst van traditionele betaalkaartnetwerken.

Verbeterde consumentenbescherming

Betalingsproviders hebben nu een grotere verantwoordelijkheid voor de veiligheid. Klanten moeten binnen 24 uur hun geld terugkrijgen bij ongeautoriseerde transacties, de aansprakelijkheid voor verloren kaarten is beperkt tot € 50 en extra kosten voor belangrijke betaalmethoden zijn verboden.

Wie moet voldoen aan PSD2?

Als je een Amsterdams café bent dat contactloos betalen accepteert, een SaaS-bedrijf in Utrecht dat maandelijkse abonnementen in rekening brengt of een Rotterdamse retailer die online bestellingen verwerkt - PSD2 geldt voor jouw bedrijf en jij moet ervoor zorgen dat je betalingsprovider voldoet aan PSD2.

Hieronder vind je een overzicht per type bedrijf:

• E-commercebedrijven en online retailers moeten ervoor zorgen dat hun betaalproces sterke klantenauthenticatie biedt voor transacties vanaf € 30. Dit betekent dat ze moeten weten wanneer klanten extra verificatiestappen moeten doorlopen en dat ze de betalingsstromen daarop moeten afstemmen.

• Abonnements- en SaaS-bedrijven hebben te maken met unieke uitdagingen op het gebied van terugkerende betalingen, waardoor authenticatievereisten in balans moeten zijn met zowel veiligheid als gebruikerservaring. Mislukte authenticaties kunnen leiden tot onvrijwillig klantverloop.

• Betalingsdienstaanbieders, zoals banken, betalingsverwerkers en fintech-bedrijven, moeten de technische infrastructuur implementeren die compliance mogelijk maakt.

• Fysieke retailers die betaalkaarten accepteren via terminals of contactloze systemen, hebben ook PSD2-conforme betalingsverwerking nodig.

PSD2 geldt voor alle elektronische betalingen waarbij zowel de bank van de klant als de betalingsprovider van de handelaar binnen de Europese Economische Ruimte zijn gevestigd.

Belangrijkste PSD2-nalevingsvereisten voor bedrijven

De richtlijn creëert een alomvattend nalevingskader, met betrekking tot alle aspecten van klantcommunicatie tot beveiligingskaders.

• Toestemming van de klant en communicatienormen: Je moet uitdrukkelijke toestemming vragen als je gebruikmaakt van diensten van derden die toegang hebben tot betalingsgegevens van klanten. Hierbij moet je in duidelijke, specifieke bewoordingen uitleggen tot welke gegevens je toegang hebt, waarom je deze nodig hebt en hoe deze zullen worden gebruikt.

• Open bankieren en veilige communicatie: PSD2 vereist dat banken veilige API's aanbieden aan erkende externe providers. Kennis van open banking kan je helpen betalingsoplossingen beter te evalueren.

• Sterke authenticatievereisten voor klanten (SCA): Je betalingsinstellingen moeten tweefactorauthenticatie ondersteunen voor transacties vanaf € 30 en voor accounttoegang. We zullen de specifieke vereisten en uitzonderingen in het volgende gedeelte in detail bespreken.

• Verplichtingen van betalingsdienstaanbieders: Als je een erkende betalingsdienstaanbieder bent, heb je directe verplichtingen, bijvoorbeeld om belangrijke operationele of veiligheidsincidenten zonder onnodige vertraging te melden aan je centrale bank en toezichthouder (bijvoorbeeld De Nederlandsche Bank).

Bij het kiezen van een betalingsinfrastructuur die deze nalevingsvereisten automatisch afhandelt, vergelijkt onze gids met de beste betalingsoplossingen voor Nederlandse bedrijven de nalevingsfuncties van verschillende aanbieders.

Wat is sterke klantauthenticatie (SCA)?

Sterke klantauthenticatie (SCA) is het antwoord van PSD2 op de toenemende betalingsfraude. In plaats van te vertrouwen op eenvoudig te kraken wachtwoorden, moet de klant bij SCA zijn identiteit op twee onafhankelijke manieren verifiëren wanneer hij online toegang krijgt tot zijn betaalrekeningen of transacties van meer dan € 30 uitvoert.

Dit is te vergelijken met het upgraden van een eenvoudig deurslot naar een beveiligingssysteem met meerdere controlepunten. Je kunt bijvoorbeeld je vingerafdruk gebruiken in combinatie met een code die naar je telefoon wordt gestuurd.

Bedrijven kunnen SCA echter overslaan voor:

• Transacties onder € 30

• Betalingen aan geverifieerde verkopers

• Terugkerende abonnementen na de eerste installatie

• Transacties met een laag risico die door fraudeanalyse zijn gerapporteerd

Een goed ontworpen SCA verloopt net zo soepel als Touch ID van Apple Pay. Slechte implementatie kan leiden tot problemen bij het afrekenen, wat ten koste gaat van de conversie. De sleutel is het kiezen van een betalingsprovider die authenticatieprocessen optimaliseert en strategisch gebruikmaakt van uitzonderingen.

Wat zijn de gevolgen van PSD2 voor Nederlandse bedrijven?

Als je een Nederlands bedrijf runt, werk je misschien wel in een van de meest PSD2-vriendelijke omgevingen van Europa.

iDEAL, de meest gebruikte betaalmethode in Nederland, voldeed vanaf dag één aan de PSD2-richtlijn, in tegenstelling tot creditcardsystemen, waarvoor uitgebreide aanpassingen nodig waren. Hierdoor hebben Nederlandse bedrijven een aanzienlijk voordeel op het gebied van compliance.

De Betaalvereniging Nederland heeft een ‘gecontroleerde invoering’ van SCA gecoördineerd, waarbij De Nederlandsche Bank, uitgevers, acquirers en bedrijfsvertegenwoordigers werden samengebracht om ongewenste gevolgen te minimaliseren.

Veelvoorkomende uitdagingen op het gebied van compliance voor Nederlandse bedrijven

• Betalingsweigeringen: Sommige verkopers meldden dat het percentage geweigerde betalingen bij bepaalde banken opliep naar 30 tot 40% als gevolg van problemen met de implementatie van SCA.

• Verborgen implementatiekosten: Bedrijven krijgen vaak te maken met onverwachte kosten, zoals hogere verwerkingskosten voor 3D Secure-transacties.

• Problemen met SaaS-abonnementen: Wanneer het bedrag van een abonnement verandert, moet SCA doorgaans opnieuw worden toegepast. Een mislukte authenticatie kan leiden tot onvrijwillig klantverloop.

• Technische integratie-eisen: Bedrijven met eigen factureringsoplossingen hebben vaak aanzienlijke ontwikkelingsmiddelen nodig om SCA-authenticatiestromen mogelijk te maken.

Tools en platforms die helpen bij PSD2-compliance

Het beheren van PSD2-compliance betekent niet dat je alles vanaf nul moet opbouwen. Het merendeel van de Nederlandse bedrijven werkt samen met betalingsproviders en complianceplatforms die de technische complexiteit voor hun rekening nemen.

Betalingsgateways

• Mollie: Biedt native EU-compliance met transparante SCA-afhandeling en sterke lokale ondersteuning.

• Stripe: Biedt SCA-afhandeling via 3D Secure 2 en wordt door veel Nederlandse bedrijven gebruikt vanwege de ontwikkelaarsvriendelijke integratie.

• Adyen: Levert SCA-implementatie van enterprisekwaliteit via zijn Authentication Engine.

• Airwallex: Maakt automatische SCA-optimalisatie en intelligent vrijstellingsbeheer mogelijk.

API-beheerplatforms

• Axway AMPLIFY: Een API-beheerplatform voor PSD2-compliance en open banking-initiatieven.

• Yenlo: Een Nederlands bedrijf dat API-beheerplatforms en open banking-oplossingen aanbiedt.

• Yapily: Biedt een open banking API-infrastructuur in 19 landen.

Identiteitsverificatie en fraudepreventietools

• Jumio: Heeft verschillende tools voor identiteitscontrole.

• Onfido: Combineert documentcontrole met biometrische checks.

• Sift: Maakt gebruik van machinelearning om fraude op te sporen.

Hoe Airwallex Nederlandse bedrijven ondersteunt bij de naleving van PSD2

Airwallex ondersteunt 3D Secure 2.0 met automatische vrijstellingsoptimalisatie voor alle betaalmethoden. Als een klant in Rotterdam via iDEAL betaalt, verwerken we de betaling via lokale Nederlandse betaalsystemen. Als een internationale klant een betaalkaart gebruikt, wordt op basis van het transactierisico en de klantgeschiedenis een dynamische risicobeoordeling uitgevoerd, waarna de juiste SCA-vrijstellingen worden toegepast. Zo voorkom je dat je klanten onnodig worden gehinderd door authenticatieproblemen.

Airwallex biedt niet alleen een oplossing voor je PSD2-problemen, maar ook de infrastructuur om internationaal te groeien. Je kunt geld accepteren en vasthouden in meer dan 23 valuta's, meer dan 160 lokale betaalmethoden accepteren in meer dan 180 landen en wereldwijde treasury-activiteiten beheren vanuit één dashboard.

Conclusie

PSD2-compliance hoeft geen hindernis voor groei te zijn. Als je de vereisten begrijpt, van SCA-implementatie tot communicatie met klanten, heb je een voorsprong op bedrijven die nog worstelen met authenticatieproblemen en dalende conversiepercentages.

Met PSD3 die naar verwachting rond 2026-2027 zal worden ingevoerd, leg je nu de basis voor toekomstige wijzigingen in de regelgeving als je nu al voldoet aan PSD2. Je betalingsinfrastructuur moet je plannen voor groei ondersteunen, niet beperken.

Verwijzingen

• https://eur-lex.europa.eu/eli/dir/2015/2366/oj/eng

• https://blog.2checkout.com/eu-sca-implementation-updates/

• https://help.mollie.com/hc/en-us/articles/360035609413-What-are-PSD2-and-Strong-Customer-Authentication

• https://stripe.com/en-nl/guides/3d-secure-2

• https://www.adyen.com/knowledge-hub/psd2-simplified-with-our-new-authentication-engine

• https://www.airwallex.com/eu-nl/platform/online-payments

• https://resources.axway.com/financial-services/whitepaper-psd2-compliance

• https://www.yenlo.com/solutions/open-banking-and-psd2/

• https://www.yapily.com/product/open-banking-platform

• https://www.jumio.com/

• https://www.entrust.com/products/identity-verification

• https://sift.com/psd2/